Wie muss ich meinen Linux-Rechner konfigurieren, dass dieser als Stealth Firewall arbeitet? Stealth Firewall bedeutet, dass das System ein Network-Bridge konstruiert, ohne dass er eine IP bezieht.
Linux-Rechner als Stealth Firewall
Anmeldungsdatum: Beiträge: 130 |
|
Anmeldungsdatum: Beiträge: 3146 Wohnort: Bodensee badische Seite ;-) |
Bitte beachte Richtig Fragen. |
Anmeldungsdatum: Beiträge: 13938 |
Evtl. steigt die Bereitschaft dir zu helfen, wenn man versteht was deine Absicht, mit einer Network-Bridge zwischen Modem und Router, ist. Hast Du Zugang zu der Konfiguration des Modems und zur des des Routers? |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Meine Absicht ist es, die Pakete zwischen Router und Modem mitzuloggen. Ja Zugang zur Konfiguration des Routers besteht. |
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Eine Bridge arbeitet auf Layer-II, hat also per Definition erstmal keine IP Adresse. Linux stellt dafür aber ein Interface bereit welchem man eine IP geben könnte. Die Frage ist aber eigentlich viel eher welches Problem zu lösen möchtest. mfg Stefan Betz |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Der Verkehr zwischen Router → Modem → Provider soll nicht beeinträchtigt werden. Der Rechner soll zwar die Pakete mitschneiden, aber von außen und von innen nicht erreichbar sein. Also er soll unsichtbar agieren. Mein Problem ist nun die Konfiguration meines Linux. Ich habe bereits versucht mit Bridges mein Problem zu lösen, jedoch muss ich den Interfaces immer eine IP zuordnen und diese dürfen sie ja eben nicht haben, weil somit der Netzwerkverkehr zwischen meinem Router/Modem und dem Provider beeinträchtigt wird. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Zum besseren Verständnis meines Plans. Wenn zum Beispiel mein Provider-Gateway die IP 1.1.1.1 hat und mein Anschluss die 2.2.2.2, dann soll beispielweise beim Senden eines ICMP-Pakets auf die 2.2.2.2 das Paket durch meinen Linux-Rechner hindurch (ohne Veränderung des Pakets) und dann direkt zu meinem Router. Dasselbe natürlich ebenfalls, wenn 2.2.2.2 1.1.1.1 kontaktiert. Wie gesagt, der Rechner darf auch keinen Fall den Netzwerkverkehr beeinträchtigen. Also es soll so aussehen, als wäre er garnicht da. Ich habe schon versucht, meine beiden ETH's auf "manual" zu setzen und diese dann in den Status "up" zu versetzen. Zusätzlich habe ich die beiden in eine Bridge involviert und dieser keine IP zugewiesen. Leider funktioniert das nicht. Des Weiteren habe ich mithilfe von iptables versucht, die Weiterleitung der Pakete von eth0 zu eth1 und von eth1 zu eth0 zu erlauben. Leider war auch diese Konfiguration ohne Erfolg. Ich hoffe meine Beschreibung ist möglichst gena |
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Natürlich kannst du in der /etc/network/interfaces eine Bridge konfigurieren die keine IP hat, eben nicht mit "static" oder "dhcp" sondern halt "manual" nehmen. Steht so auch in der Manpage "interfaces". mfg Stefan Betz |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Wenn ich zusätzlich die beiden Interfaces eth0 und eth1 auf "manual" setze dann gelangen die Pakete, die bei eth0 eingehen nicht bei eth1 wieder heraus. |
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Folgendes wird, temporär genau das machen was du willst: sudo brctl addbr br0 sudo brctl addif br0 eth0 eth1 Das kann man auch mit der interfaces nachstellen. mfg Stefan Betz |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Wie kann ich in /etc/network/interfaces einstellen, dass ein eth-Interface bzw. eine Bridge im Status "manual" beim Boot in "up" versetzt wird? |
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Wie sieht die Datei aktuell bei dir aus? Eigentlich genügt ein "auto br0" und alles sollte erledigt sein, steht aber auch gut erklärt in der Manpage. mfg Stefan Betz |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Es funktioniert jetzt. Doch wie kann ich jetzt die Pakete mit tcpdump mitloggen? Der Befehl "tcpdump -i br0" wirft den folgenden Fehler auf: "tcpdump: WARNING: br0: no IPv4 address assigned". |
Anmeldungsdatum: Beiträge: 13938 |
Versuch mal mit: sudo tcpdump -vn -i any Evtl. geht es aber auch so nicht, weil Du keine IP-Adresse hast. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 130 |
Hat sich erledigt. Viele Dank für die Hilfe. |